Password security doesn't matter - This is how Google and Co do 2FA, MFA and U2F

You had me at "Sie sind sogar waschbar!" XD

Top Video 👍 Eine Serie zu Yubikeys wäre cool

Wieder mal ein super informatives Video, DANKESCHÖN dafür! 😊👏🏻 Sollte Basiswissen sein!

Sehr interessant und gerne mehr davon !schönen Sonntag

Sehr geiles und wichtiges Video! Ich habe mich schon über FIDO2 informiert und finde das Thema mega spannend. Schade das die Verbreitung so schleppend voranschreitet.

Ich hab son yubikey schon seit vier Jahren. Ich fand das Prinzip genial aber leider hat das damals noch kein Browser unterstützt. Deswegen lag das Teil dann nur in der Ecke rum. Jetzt bin ich durch Dein Video wieder darauf aufmerksam geworden. Muss es gleich mal rauskramen!

Super verständlich erklärt
Danke dir!

Sollche Sticks sind eine super Erfindung, Nutze die auch über einem Jahr und bin zufrieden damit, wenn jetzt jede alte Oma oder sonst jeder 3. ohne IT Erfahrung so einen Nutzen würde, könnte man wie du sagtest die meisten Angriffe eindämmen. Oder in Firmen, jede Sekräterin sollte so einen Nutzen.

Gutes Video!

Danke für das sehr spannende Video... leider habe ich erst vor kurzem von diesen Yubikeys erfahren... hätte dies sonst schon viel früher eingesetzt... nun sind aber wenigstens mal 2 von den Teilen bestellt.

Gutes Video. Hab die yubikeys seit über einem klasse Teile

Mega gut! Danke Dir!

wie immer Top

Super Video 👍🏼😀 Danke dafür 🙏 Mach doch mal bitte ein Video zu den Nitrokeys made in germany. Das wäre super

YubiKey ist notiert! Und meiner Schwester werd ich auch gleich einen besorgen!

Sehr gutes Video. 👍🏼 Danke dafür 🙏🏼
Bitte ein Video über Nitrokey machen. 😀

Sehr interessant 👍. Guter Tipp. Das muss ich mir mal durch den Schädel gehen lassen 🤔.

Benutze ich schon seit Monaten. Ist ein bisschen Mehraufwand, aber macht ein gutes Gefühl.

erstmal großes lob an dem Content den du lieferst....
jetzt meine frage: wie würdest du 2 FA mit z.B. Bitwarden Client einstufen?

Hey - erstmal ein sehr cooles und informatives Video! Wenn fido2 genutzt wird und die Authentifizierung nur über den Key abgewickelt wird ist dieser dich extrem anfällig für physischen Diebstahl. Wenn mir der yubikey geklaut wird bin ich bis zu dem Moment an dem ich mit dem Backup Key den ersten Key blockiere doch "Machtlos" und der Angreifer hat vollen Zugriff (und könnte auch den Backup Key aussperren). Oder wird trotz fido2 auch noch ein zusätzliches Passwort benötigen (das sah für mich bei deinem GitHub Beispiel nämlich nicht so aus)?

Tolles Video, hätte nur 2 Fragen:
1. Kann ich mich gleichzeitig am Handy per NFC einloggen, während der Stick am Laptop hängt? Für welche Authentifizierung gilt der Tap dann?
2. Wie funktioniert das mit dem Backup Key? Muss ich die manuell synchronisieren, oder woher wissen die Services, bei denen ich mich einlogge, dass der 2. Stick auch meiner ist, wenn ich tatsächlich den 1. Stick verlieren sollte?

Chips die man unter die Haut setzen kann finde ich da besser.
Kann man ja auch die Haustür damit öffnen und noch viel mehr.
Dafür hatte ich gerne ein Video.
Yubikey empfinde ich für eine veraltete Technik.

Hallo, das ist für mich ein sehr interessantes Thema. Leider habe ich nicht viel verstanden, da die Erklärungen viel zu schnell waren. Fachausdrücke waren für einen nicht
ganz so versierten PC-Nutzer nicht unbedingt verständlich. Da ich mich aber grundsätzlich dafür interessiere hätte ich folgende Fragen:
Um einen Youbikey 5 NFC einzurichten, muss ich da noch irgendwelche Software von irgendwie herunterladen ?
Ist es möglich sich grundsätzlich mit dem Youbikey 5 NFC in Windows 10 anzumelden ? Wenn ja wie richte ich das ein ?
Irgendwie habe ich im Video mitbekommen, dass ich mich mit Youbikey 5 NFC auch bei Google, Amazon etc. anmelden kann. Ich habe leider nicht verstanden wie das genau
gehen soll.
Was ist mit dem Backup-Schlüssen ? Wie soll das funktionieren ?
Da beim Erwerb meines Youbikey 5 NFC keinerlei Anleitung oder Handbuch dabei war, bin ich restlos aufgeschmissen.
Vielen Dank für Deine Bemühungen
Bernd

Hallo Morpheus, es ist ein gutes Video auch wenn ich weniger als die Hälfte verstanden habe. weil ich kaum Ahnung von Pc habe ich mach denn an log mich ein wo ich rein möchte und fang an zu zocken z.B. Also eine Frage kann man das ganze Video sag mal auf das wichtigste komprimieren damit das auch einfache Leute verstehen?

Schade, der Gutscheincode scheint über die Zeit wohl abgelaufen zu sein.
Aber danke für das sehr informative Video!

Ich hätte dazu nochmal 2 Fragen: Wäre es trotzdem sicher wenn ich auf meinem Heimcomputer bei meinen Acoounts (z.B. Google) eingeloggt bleibe, so dass ich nicht jedes Mal den Yubikey einstecken muss (oder auch bei Drupbox - da ist man ja mit seinem PC in der Regel immer eingeloggt)? Und könnte nicht ein Angreifer einen Man in the Middle Angriff durchführen und meine Session abgreifen und wäre dadurch eingeloggt?

Ist der yubikey 5 oder der Titan Security Key besser?

Hi, und wenn vierlieren, kann mann neue bestellen mit gleiche S. Nummer?

Sorry für die Frage (bin neu auf dem Gebiet), aber habe ich das so richtig wahrgenommen, dass ich den Yubikey nur für die Dienste auf deren Seite nutzen kann?
Dort wird ja auch Chrome aufgeführt, bedeutet das, dass ich mich auf Websiten anmelden kann, welche an sich selbst keinen Key unterstützen und geht das bei denen nicht?

Cool bin vor paar Tagen auch auf Yubikey aufmerksam geworden.
Aufm Handy hab ich Keepass2Android kann ich den Yubikey auch da nutzen? Selbe Datenbank wie am PC (wird gesynct).
Leider geht der Rabattcode nicht mehr :(

Gibt es zu dem Key auch einen Schutz für die offenliegenden Goldkontakte?
Beim täglichen Tragen in der Hosentasche oder Rucksack sind diese doch baldigst zerkratzt, oder?
und wie viele Jahre Garantie gibt es auf das Produkt, falls es doch mal den Geist aufgibt?
lg

Danke

Wenn ich ein altes Telefon nehme und dort auch keine Internetverbindung vorhanden ist sollte es doch auf das gleiche kommen?

Wenn der Yubikey kaputt geht , kann man irgendwie noch auf die sachen zugreifen? EDIT: Hab jetzt zuende geschaut.

Wird es noch ein Video zum sicheren Umgang mit dem Passwortmanager geben?:)

Sehr spannende und wichtige Informationen. Vielen Dank. Kann ich mit einem Yubikey auch eine Zugriffsmöglichkeit für KeePass speichern, falls ich mein Masterkey dafür vergessen sollte? Wenn ja: Kannst Du dazu mal ein Video machen?
Schöne Grüße

Funktioniert ähnlich wie ein Ledger, trezor oder couldcard ;)

Hey, super Video!
Wie viel Aufwand ist es den Key für sein Programm nutzbar zu machen?
Wenn wir von der Firma eine App haben auf die außerhalb niemand zugreifen darf, ist es dann ein sehr großer Aufwand den Code für U2F zu schreiben?

Ich dachte immer das es total kompliziert ist... Dank deinem Video kaufe ich mir jetzt auch einen. Aber so wie ich es verstanden habe sollte man einen als Backup am sicheren Ort haben. Müssen das die gleichen YubiKey sein? Oder könnte ich auch den etwas günstigeren blauen Security Key benutzen? Es wäre ja nur als Backup wenn meiner am Schlüsselbund abhanden kommt?

Moin,
könntest du mal ein Video über den NitroKey FIDO2 machen?

Als Backup-Key braucht man dann also quasi einen 2. yubikey, oder bekommt man da irgendwie codes zum abschreiben o.ä ?

Hey, deine Videos haben mir wirklich geholfen, mir endlich einen Passwort-Manager einzurichten und Yubikeys zu besorgen. 😅 Ich verstehe zwar, was du mit dem Video hier sagen willst, aber den Titel finde ich trotzdem etwas ungünstig bzw. etwas irreführend ("Passwortsicherheit ist egal..."), weil ja viele auch immer noch echt schlechte Passwörter haben... und von 2FA dann vielleicht noch nicht mal gehört haben... 😅 Manchmal liest man ja nur Titel... Besser fände ich als Titel daher z.B. "Passwortsicherheit reicht nicht aus..." 🤔

Was ist wenn der Drückmechanismus kaputt geht? Kann man dann irgendwie wieder an seinen Account kommen oder hat man dann "Pech gehabt" und man kann den Account vergessen?

Ist U2F auch bei der Verschlüsselung von HDD oder SSD Laufwerken einsetzbar?

Das mit dem Backup für den Verlust vom Yubikey habe ich nicht ganz verstanden, heißt das du würdest 2 Yubikeys empfehlen, damit der eine das Backup vom anderen ist? Und wenn ja, bräuchte man dann zwei von der Series 5 oder würde ein 5er reichen und der Backup-Key könnte ein Yubico Security Key (der blaue) sein? Wäre jedenfalls günstiger als 2x 5er.
Zu dem Thema Yubikeys usw. wäre sicher noch mehr Content interessant.

Bisschen spät aber ich hätte da eine Frage: ich benutze jetzt einen Yubikey unteranderem für die yubico authentifitactor App, da Frage ich mich jetzt nur, wie komme ich an die Codes wenn ich den Key verliere.? Habe keine Möglichkeit gefunden irgendwo einen Backup Key einzurichten, müsste ich dafür von jedem einzelnen Account die backup Codes irgendwo speichern? Wenn ja, hast du Tipps wo ich die Backup Codes von all meinen Accounts am besten speichern kann?

Hallo, ich hab auf meinem Paswortsafe etwa 150logins drauf. Passen diese alle auf den yubikey?

Hätte da mal ne Frage. Gibts nen unterschied zwischen dem schwarzen und dem blauen Key? Der Blaue kostet nämlich 20€ weniger...

Z.B. Pretty Good Privacy für das Schreiben, digitale Signatur und Versenden von Emails:
Wenn man eine Email mit einer digitaler Signatur schreiben und versenden möchte mit PGP-Unterstützung von Yubikey, braucht man für Internetbrowser oder für die Email-App eine PGP-Erweiterung? Oder brauche ich keine Email-App-Erweiterung für PGP, aber dafür brauche ich nur das Yubikey?

Brauche ich für den Yubico Key 5 auch den Manager und mein Google Konto zu sichern oder brauche ich das nicht?

Was passiert, sollte der Yubikey verloren oder kaputt gehen? Damit geht, wie du erwähnt hast, die Login-Funktion natürlich verloren. Wie kann ich zwei identische Schlüssel aufsetzen?

Hallo Morpheus, wenn ich mir 2kaufe, wie mache ich Backup? soweit ich weiß kann man die Passwörter nicht übertragen?

Nicht zu viel versprochen :)
Allerdings ist mir eine Sache unklar:
Wenn ich ein Backup von dem Key mache, dann kann ich das backup dann auch nur auf einen neuen yubikey draufspielen? Und das Backup muss ich aber nur einmal ganz am Anfang machen, weil das die Konfiguration von dem Key ist oder muss ich das jedesmal machen, wenn ich einen neuen Account hinterlege?
Und du hast ja zwischenzeitlich die Standards von Google erwähnt, hast du vielleicht einen Link zu den?

Danke toller Bericht. Nur wie kann man gleizeitig zwei Yubikey für ein Konto nutzen?

Muss man direkt 2 holen für ein Backup? Oder geht das auch nachträglich vielleicht mal im Video kurz erklären wie man dann ein Backup macht .

22:20 Also geben ich beim Einrichten nicht beide Keys an/ein sondern aktualisiere dann bei allen entsprechenden Plattformen den zweiten Key, wenn der erste Verschütt gehen sollte?

Blöde Frage, könnte nicht mit yubikeys genau das gleiche (bzw ähnliche) wie mit den apple security chips passieren?

Ich habe das bei Github so eingerichtet und auch den Key hinzugefügt. Aber ich komme immer noch mit den Recovery Codes in meinen Account... ich dachte das geht dann nicht mehr?

Hi super Video ich habe meine Google authentikator App schon am Handy laufen wie kann ich Google authentikator App die ganzen rüber ziehen oder muss ich Google authentikator App löschen und nur yubikey installieren 😊

Auf diversen Plattformen hat das Gerät aber eine große Anzahl von negativen Bewertungen auf Grund von Inkompatibilitäten zu Windows Hello oder Bugs in der Software. Auch das man ältere .NET Versionen für die Windows App benötige. Kannst du das Bestätigen oder ist dir bei deinem Test sowas nicht passiert/aufgefallen?

Siehst, bei meinem Rechner läuft die Anmeldung über Tobii 5. Ich hab das versucht, wenn sich mein nachbar deavor setzt, wird nicht eingeloggt. Nicht mal bei Wenn sich meine Eltern davor setzten. Der loggt wirklich nur ein, wenn ich davor sitz. Ich weiß nicht genau, wie er es macht, aber es funktioniert.

Wie funktioniert das mit BACKUP KEY? Wie kann man einen Backup Key anlegen?

Hallo eine Frage Woher kommen diese 80% gibt es dafür eine Studie ?

Wenn ich bei Amazon die OTP mit YubiKey Authenticator aktiviere ist das schön und gut, was mich aber nervt: Gibt man bei der Meldung wo man den eigentlichen OTP vom Authenticator benötigt an "OTP nicht erhalten" dann kann man diesen immernoch aufs Handy als SMS bekommen. Das hebelt doch das kompette Prinzip den OTP über den Yubkey zu generieren aus und der Hacker braucht wieder nur das Handy bzw. muss nur das Handy hacken, wenn Amazon gleich den Umweg mitliefert.
Kann man das verhindern?

Wärs nicht am Besten 3 Keys zu haben, nach dem selben Motto wie bei Backups?(also insgesamt 3 Keys, 2 vor Ort(für schnellen Zugriff) und 1 an nem anderen Ort(falls im worst case z.B beide Keys im Brand vernichtet werden)?
Aber super Video!

Ich nutze eher Authy anstatt Google Authenticator, weil wenn ich mein Handy zurücksetzen muss, kann ich immer noch auf die Codes zugreifen. Ist also in der Cloud. Ich weiß nicht ob das unsicherer ist?

Weil du im Video 'Handy hacken`sagtest, gibt es schon ein Video zum Thema Mobile Security? Würde mich sehr interessieren

was passiert wenn der Stick kaputt / verloren geht bezogen auf PW wiederherstellung?

Ich habe mir so einen yubikey besorgt, funktioniert super 👍. Aber leider nur mit meinem Laptop. Bei meinem Android Handy streikt er. Woran könnte das liegen?

Mich würde ja mal der Unterschied zwischen dem YubiKey 5 NFC FIPS und dem YubiKey 5 NFC interessieren... Was kann der FIPS, was der andere nicht kann?

Ich habe seit ca. 1 Jahr einen Yubikey und bin extrem zufrieden mit dem. Nur ein Problem ist, dass bei den meisten für mich relevanten Services dieser nicht zur 2FA zu Verfügung steht...

Nur dass ich deinen Hinweis bei 21:50 richtig verstehe: Du meinst jetzt zwei keys im Sinne von Recovery-Keys oder empfiehlst du tatsächlich zwei Yubikeys?
Und ich verstehe natürlich den Vorteil daran, kein Passwort mehr eingeben zu müssen (passwordless authentication) aber ist es nicht auch wiederrum doof *nur* ein physisches Gerät zu nutzen? Also jetzt nicht für den Otto-Normalie aber wenn du kritische Informationen hast o.Ä. und jemand weiß davon wär's jawohl nicht so geil wenn man dir den Yubi abnimmt und sich überall einloggen kann. Gibt es für den Fall die Möglichkeit bei allen verbundenen Diensten gleichzeitig den Verlust des Keys zu melden, sodass schonmal der Yubikey nicht mehr klappt?
Definitiv ein Video, von dem ich nicht wusste, wir sehr ich es brauchte. Das Gerät scheint vielversprechend und das für einen guten Preis. Danke für den Rabatt!

Wird der yubikey mit nur USB auch vom Handy erkannt wenn man ihn mit Adapter auf USB c ansteckt ?

was passiert wenn der yubikey verloren geht? oder wenn es einen Hardware defekt gibt ?

Kann es sein, dass der Code nicht mehr geht? Schade.

Ich wünsche mir für dieses Jahr, dass auch Spotify 2FA einführt. ( Am Besten bitte noch vor Weihnachten ^^ ). Ich bin seit Jahren User vom Gratis-Plan von Spotify ... den Account hatte ich angelegt noch zu Zeiten, wo ich von Passwortmanagern nichts wusste und für jeden Mist das gleiche Pasdswort hatte ... den Account hatte ich sogar soweit vergessen, dass ich erst wieder auf die Existenz aufmerksam geworden bin, als ich mich dort kürzlich registrieren wollte. Mein Account war voll mit Playlists von Musik, die ich selber nichtmal höre. Ich hab das Experiment gemacht, das Passwort erstmal nicht anzurühren sondern nur die fraglichen Playlists zu löschen ... 3 Tage später war der Acc wieder mit irgendwelchen komischen Playlisten vollgespamt. Erst seitdem ich ein mit KeePass genereiertes Passwort eingestellt habe, ist damit Ruhe im Karton. Daraus schließe ich, selbst mein Free Account wurde HACKED.
Jetzt mache ich natürlich durchaus schon länger für jede Seite wo ich mich registriere n eigenes Passort ( bei manchen sogar eigene Mail-Adressen die nur für die jeweilige Seite sind ) , aber das macht ( leider ) nicht jeder ... Und zu Spotify - ja, es besteht scheinbar auch Interesse an Accounts, wo nie Guthaben drauf war und auch nie welches drauf sein wird.
Spotify? 2FA! JETZT!

Wie lange ist der Rabattcode gültig? Möchte mir eventuell einen kaufen aber mich erst noch ausführlich informieren

Ist dieser yubico-Manager Open Source?
Grade im Security-Bereich megawichtig dass man nachvollziehen kann, was da eigentlich im Background passiert ...

Ich frage mich schon, was kommt nachdem Security Key wenn der hackbar ist? xD
Trotzdem ne coole Technologie, interessant auf jeden Fall.

Passwordless hört sich gut an (Ironie). Wenn der Staat den Yubikey + Handy + PC beschlagnahmen, kommen die Behörden sofort überall rein?
Wo bleibt da der Mehrfaktor?

wie viele verschiedene Accounts kann ich mit einem Key speichern und somit entsperren??

Also erstmal find ich das Prinzip sehr geil! Bei zusätzlicher Hardware hab ich aber immer Bauchschmerzen, da ich Sorge habe, die in so einem Format verlieren/verlegen zu können. Daher habe ich z.B. den Blizzard Authenticator damals auch erst verwendet, als es den als App fürs Smartphone gab. Das könnte man zwar auch verlieren, aber da ich das als Alltagsgegenstand betrachte was ich quasi immer bei mir trage, hab ich da wohl weniger Probleme mit... ^^ Wobei ich mich tatsächlich anfangs unsicherer damit gefühlt habe, weil das Restrisiko des defekten iPhones doch im Hinterkopf präsent war... ^^
Grundsätzlich fände ich es sehr geil, wenn das mit TouchID/FaceID am MacBook/iPhone gehen würde. Da sind die Merkmale auch lokal im Gerät gespeichert und gehen nicht in die Cloud. Eine Cloudbasierte-Lösung hatte den Charm dass man nicht jedes Gerät extra registrieren müsste...
Am besten fände ich es, wenn man die AppleWatch als solchen Key verwenden könnte, da ich die eh immer am Arm habe... ^^
Edit: Aber vielleicht probier ich so einen Yubikey einfach mal aus! Das der Chip aus Deutschland kommt ist irgendwie auch cool und witzig... ^^

Zum Fishing: Wer einem Link in einer Mail folgt, und dort irgendwelche Login-Daten reinklimpert, ist auch ziemlich "ungeil". Einfache Regel: sowas macht man nicht. Niemals. Nicht.

Der Rabattcode funktionier tleider nicht mehr :-(

Wenn der Source Code des "USB Sticks" nicht öffentlich ist, könnten die Macher des Produkts doch einfach eine Backdoor einbauen?

Wie lange hält die Kooperation bzw. funktioniert der Gutscheincode noch?

Schade, dass der Gutscheincode schon ausgelaufen ist.

Weiß einer, wann man auf einem YubiKey OATH-HOTP und wann man auf einem YubiKey OATH-TOTP anwenden soll?

sollte ein Key und Backup verloren gehen - könnten Accounts seitens der Plattformen wieder freigeschaltet werden?

Warte soll ich also zwei Yubikeys kaufen?

Wie hoch ist die Wahrscheinlichkeit das so ein YubiKey kaputt geht? 😅

Kommt irgendwann unity 3d Tutorial? Oder sowas?

Ist eigentlich bei 2FA nur 6 Zahlen nicht zu wenig? Könnte man das nicht Brute Forcen?

Noice

Der Gutschein Code funktioniert nicht mehr

Mir erscheint das hochgradig unpraktisch. Das heißt doch effektiv, wenn ich mich mit dem Handy einloggen will, dann bin ich gezwungen den Key dabei zu haben? Unterwegs kann ich ja damit leben. Aber daheim hab ich den Key doch nicht immer in der Hosentasche, sondern auch mal beim Laptop liegen, der im Nebenzimmer ist.

Ist NFC nicht auch unsicher

Das System finde ich sehr interessant, allerdings finde ich 40 oder in meinem Fall 51€ samt Rabatt etwas viel.
Bin aber auch noch nicht in so kritischer Infrastruktur in der das Geld 💯 % gut angelegt ist.
Ich hoffe, diese Geräte werden in der Zukunft billiger, sodass jeder es benutzt. Es wären wirklich gute Werbegeschenke (wenn der Preis nicht so hoch wäre).

Wieviele Accounts kann man eigentlich mit einem Yubikey 5 absichern?

Was passiert, wenn man den Yubikey verliert oder er kaputt geht?